Об утверждении Правил проведения аудита информационных систем

Приказ Министра связи и информации Республики Казахстан от 20 августа 2010 года № 200. Зарегистрирован в Министерстве юстиции Республики Казахстан 14 сентября 2010 года № 6488

Действующий

      Примечание РЦПИ!
      Порядок введения в действие приказа см. п. 5.

      В соответствии с подпунктом 9) статьи 6пунктом 4 статьи 27 Закона Республики Казахстан от 11 января 2007 года "Об информатизации", ПРИКАЗЫВАЮ:
      1. Утвердить прилагаемые Правила проведения аудита информационных систем.
      2. Признать утратившим силу приказ Председателя Агентства Республики Казахстан по информатизации и связи от 31 июля 2007 года № 311-п "Об утверждении Правил проведения аудита информационных систем" (зарегистрированный в Реестре государственной регистрации нормативных правовых актов № 4928, опубликованный в Собрании актов центральных исполнительных и иных центральных государственных органов Республики Казахстан, 2007 г., июль-сентябрь).
      3. Департаменту государственной политики в области информационных технологий Министерства связи и информации Республики Казахстан (Елеусизова К.Б.) в установленном законодательством порядке:
      1) обеспечить государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
      2) после государственной регистрации настоящего приказа обеспечить его официальное опубликование и размещение на интернет-ресурсе Министерства связи и информации Республики Казахстан.
      4. Контроль за исполнением настоящего приказа возложить на вице-министра связи и информации Республики Казахстан Сарсенова С.С.
      5. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр                                    А. Жумагалиев

Утверждены            
приказом Министра связи и информации
Республики Казахстан       
от 20 августа 2010 года № 200   

Правила проведения аудита информационных систем

1. Общие положения

      1. Настоящие Правила проведения аудита информационных систем (далее - Правила) разработаны в соответствии с Законом Республики Казахстан "Об информатизации" и определяют порядок проведения аудита как государственных, так и негосударственных информационных систем.
      2. Аудит информационных систем осуществляется с целью получения оценки текущего состояния информационных систем, действий и событий, происходящих в них, устанавливающих уровень их соответствия определенным критериям, техническим регламентам, стандартам, нормативно-технической документации и (или) требованиям заказчика.
      3. Проведение аудита осуществляется лицами, обладающими специальными знаниями и опытом работы в сфере информационных технологий.
      4. Заказчиком аудита является собственник и (или) владелец, и (или) разработчик информационной системы.
      5. Основными направлениями аудита являются оценка:
      соответствия функций информационной системы целям и задачам;
      соответствия разработки, внедрения, сопровождения и эксплуатации информационной системы стандартам;
      уровня защищенности информационных систем, включая прикладное программное обеспечение и базы данных;
      состояния телекоммуникационной инфраструктуры ее технического состояния и топологии;
      соответствия нормативно-технической документации стандартным требованиям.
      6. Расходы по проведению аудита информационных систем несет сторона, определенная по согласованному решению между собственником и (или) владельцем, и разработчиком информационной системы.

2. Порядок проведения аудита

      7. Аудит проводится в соответствие с договором между заказчиком и лицом, обладающим специальными знаниями и опытом работы в сфере информационных технологий.
      При проведении аудита государственных информационных систем выбор лиц, обладающих специальными знаниями и опытом работы в сфере информационных технологий, для его проведения осуществляется в соответствии с действующим законодательством Республики Казахстан о государственных закупках, по итогам которого подписывается соответствующий договор о государственных закупках на оказание аудита.
      8. Направления аудита, состав и объем проводимых работ определяется заказчиком и прикладывается к договору в виде технической спецификации.
      При проведении аудита государственных информационных систем и негосударственных информационных систем, интегрируемых с государственными информационными системами, техническая спецификация согласовывается с уполномоченным органом в сфере информатизации. При этом срок согласования составляет 10 рабочих дней со дня поступления проекта в уполномоченный орган.
      9. Аудит проводится на этапе создания, внедрения и эксплуатации информационной системы.
      10. Аудит осуществляется посредством изучения функционирования информационной системы, проведения анализа организационной структуры и архитектуры, телекоммуникационной инфраструктуры, информационных потоков, состава и структуры комплекса технических и программных средств, системы защиты информации, и предоставленных заказчиком нормативных и технических документов.
      11. Срок проведения аудита зависит от функциональной сложности информационной системы, количества структурных компонентов (подпрограмм), условий ее эксплуатации (организация рабочих мест, доступ к серверам, наличия региональных (территориальных) центров сопровождения информационной системы), а также конкретных целей аудита со стороны заказчика и указывается в договоре.
      12. По результатам аудита готовится аудиторский отчет, содержащий подробное описание текущего состояния информационной системы, перечень, выявленных несоответствий и рекомендации по их устранению, предложений по улучшению информационной системы.
      13. Аудиторское заключение составляется по форме согласно приложению к настоящим Правилам, которое заверяется подписями лиц осуществляющих аудит и заказчика, скрепляется печатью лиц осуществляющих аудит. Аудиторское заключение составляется не менее чем в 2 (двух) экземплярах, один из которых передается заказчику, второй остается у организации. Копия аудиторского заключения по государственным информационным системам, и негосударственным информационным системам, интегрируемых с государственными информационными системами заказчик передает уполномоченному органу в сфере информатизации.
      14. Аудиторское заключение носит рекомендательный характер.

Приложение       
к Правилам проведения  
аудита информационных систем

"Утверждаю"     
___________________      
      (должность, ФИО)     
"___"_________ _____ г.     

Форма     

                         Аудиторское заключение
      по результатам проведения аудита информационной системы

____________________________________________________________________
                     (наименование информационной системы)
____________________________________________________________________
                      (наименование организации заказчика)
в области __________________________________________________________
                          (область проведения аудита)
от "___" ________ 20__ г.
____________________________________________________________________
        (наименование лица, осуществляющего аудит информационных систем)
согласно договору от "___" _______ 20__ г. проведен аудит в
соответствии с Правилами проведения аудита информационных систем
(отчет о проведении аудита информационных систем с организационными,
техническими, методологическими аспектами проведенного аудита
прилагается).
      В ходе аудиторской проверки было установлено, что данная
информационная система имеет следующие оценочные показатели:
      1. ___________________________________________________________
      2. ___________________________________________________________
      3. ___________________________________________________________
что соответствует/не соответствует установленным требованиям и
стандартам в области _______________________________________________
                                (область проведения аудита)
      Рекомендации по сопровождению и развитию информационной системы
____________________________________________________________________
____________________________________________________________________

"___" _________ 20__ г.             ________________________
                                         (ФИО, подпись)